“La identidad digital debe ser el eje central de la estrategia de seguridad para las empresas”

Proteger la identidad digital en un contexto de transformación constante se ha vuelto esencial. Hemos hablado con Daniel Rodríguez, director general de Redtrust, que, en este sentido, recomienda que las empresas estructuren su estrategia de ciberseguridad en torno a la gestión de la identidad digital y los certificados. Rodríguez también destaca el papel clave que juegan nuevas tecnologías como la IA y la computación cuántica en la evolución de la seguridad digital y los retos que enfrenta la gestión centralizada de certificados en el entorno empresarial.

Como dijo Heráclito: “la única constante es el cambio”, así pues, la transformación digital es algo que nunca va a parar. Desde el punto de vista de la seguridad lo que cambia es el foco principal ya que las amenazas se adaptan también a dicho cambio. La identidad digital es para nosotros elemento que ha adquirido el foco principal desde hace ya tiempo. Por lo tanto, nuestra recomendación suele ser tomar la identidad digital como el monolito alrededor del cual desplegar nuestra estrategia de seguridad. Primero hay que securizar la identidad digital y el acceso a la misma para luego poder proteger los recursos a los que accede.

Al ser una tecnología que ha gozado de regulación favorable en España desde hace bastante tiempo, su implantación es total, tanto en la empresa privada como en la administración pública. Pero la realidad es que aún podría estar mucho más extendida en cuanto a su uso, ya que la variedad de casos de uso que podemos cubrir es mucho mayor que el actual, el uso externo, interno, cifrado, firma de más diversidad de documentos, etc.

Daniel Rodríguez, director general de Redtrust.

Principalmente lo ha impulsado la regulación que tenemos, que siempre ha sido muy avanzada en comparación con la de otros países. Nuevas tecnologías disruptivas como pueden ser la IA pueden favorecer su implantación a la hora de asegurar que cierto contenido no ha sido generado por una inteligencia artificial ya que puede ser firmado por un certificado digital que esté en posesión exclusiva de un ser humano, pero para que ello se implante exitosamente requiere de la colaboración de varios actores, principalmente el consumidor.

El principal reto al que se enfrenta una empresa a la hora de implementar una gestión centralizada de certificados digitales es la identificación y eliminación de todos aquellos certificados antiguos que pudieran haber sido distribuidos de manera no segura. Cualquier clave privada que haya sido puesta a disposición del usuario final debería ser revocada y emitida de nuevo para tener una garantía total de que no pueda usarse en un futuro de manera fraudulenta.

El mayor problema al que puede enfrentarse la PKI más que el propio certificado digital suele ser un problema de confianza, si las empresas de emisión o gestión sufren un ciberataque que comprometiese la generación segura de certificados digitales generaría una merma en la confianza del sistema. La confianza en las entidades emisoras es lo único que (junto con la matemática) sostiene el sistema de certificados digitales.

Siempre hemos querido ser una plataforma 360 de gestión de los certificados digitales, la centralización de estos es únicamente la base sobre la que hemos desarrollado varias funcionalidades para facilitar el acceso, la emisión y el uso a los certificados digitales. A partir de ahí, es muy dependiente del caso de uso que el cliente final quiera cubrir, desde autenticación en servicios internos y externos hasta firma masiva de facturas pasando por el cifrado de información sensible o la firma y cifrado de emails. Nuestra principal tarea es hacer que todos esos casos de uso sean posibles de la manera más transparente para el usuario final. Es ahí donde más hemos puesto nuestro foco, en la experiencia de usuario y la facilidad de uso.

El futuro depende mucho de una tecnología que hoy por hoy aún no tiene gran notoriedad en prensa pero que puede ser clave para el futuro de la identidad digital y es la computación cuántica. La criptografía actual basa su fortaleza en la imposibilidad en un tiempo prudencial de poder factorizar grandes números para hallar los números primos que las componen. Para ello, desde nuestra compañía estamos apostando claramente por la tecnología post cuántica o PQC (Post Quantum Cryptography) que garantizará que todos aquellos datos que hoy por hoy queremos asegurar seguirán siendo seguros aún con la llegada de ordenadores cuánticos.

Al margen de este hecho, creemos que, como ha pasado con otras tecnologías, el futuro pasará por la nube, las regulaciones tanto europeas como de otras zonas no pueden dar de lado el hecho de que es hasta ahora la mejor y más segura forma de identificación de usuarios y máquinas.

Al final, la tecnología que subyace a todas las nuevas legislaciones está basada en la tecnología de criptografía asimétrica y por tanto en la correcta gestión de un par de las claves pública y privada. Así pues, mientras haya claves públicas que distribuir y claves privadas que securizar, estaremos ofreciendo al mercado una solución que cubra sus necesidades. En ese sentido nos adaptaremos, como hemos hecho siempre, a lo que la legislación demande.